Mastodon v4.0.0+ 對我來說最大的問題甚至都不是醜 UI 而是安全方面的顧慮 :blobcatnotlikethis:

此前 Mastodon 站點的 search 功能是不對非登錄用戶開放的,而 v4.0.0+ 以後即便是非登錄用戶也可以用站點的 search,這就出現了一些對我來說很 concerning 的問題⋯⋯譬如說裏瓣是禁止了未登錄用戶訪問 profile 和 status 的,如果你沒有裏瓣帳號直接打開裏瓣管理員的 profile donotban.com/@admin 是什麼也看不到的,但是因為 v4.0.0+ 的 search 變成不需要登錄的功能了,現在即便你不登錄直接去草莓縣/o3o/bgme 搜裏瓣管理員或者裏瓣任何有和他們站通訊的用戶都能把 profile 和 status 搜出來(完全不是說這些升級了的站點有問題的意思)。雖然這個問題對於本身沒有禁止非登錄用戶訪問 public profile 和 status 的站點來說確實不是大問題,但我會非常非常非常不希望我的站為他人搜索本來對他來說可能不 accessible 的東西提供便利 :ablobdundundun:

本身 Mastodon 官方是提供了禁止未登錄用戶搜索的方法的(即在 .env.production 中添加 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture),但是因為這次更新完全改變了 public profile 和 status 的寫法,如果禁止了未登錄用戶使用 search 會導致站點的 public profile 和 status 同樣對非登錄用戶無法訪問(就是非登錄用戶直接開我的 profile 和我的 po 什麼也看不見),且會一直跳 '401 This method requires an authenticated user',甚至連站點的 /about 頁面這個理論上本來就不該需要登錄才能看的地方都在跳這個 error。這個問題我已經在 mastodon 的 github 反映了 [1],也被上游確認確實有這個 bug。但他們暫時還沒有修復 :csndino036:

所以雖然我已經 merge 完了 v4.0.0+ 的代碼,並把非常大一部分東西都改回去了(比如那個醜到爆的 sidebar 被我重新移回了頂上),但是到上游修復這個問題我都不會更新 :csndino111:

[1] github.com/mastodon/mastodon/p

@kiokio :blobcatread: 歐先生代碼寫成這樣都能出 RC 真令人不敢相信呢

Follow

@Renn 我大震撼這麼大的問題他自己測試都不測試一下就 release 了 :ablobdundundun: 真的很心急火燎要發推難財 :usamarua021: (而且還不修,sidebar 也不修 :csndino013:

Sign in to participate in the conversation
Casino

澳洲首家線上賭場上線啦!